¿Cómo de seguras son tus aplicaciones?

La pregunta que encabeza este artículo es importante. Importante porque se lanza directamente contra la confianza que un cliente tiene en sus decisiones sobre seguridad, y muchas veces, para estar realmente seguro es necesario aplicar el método científico y cuestionarse si realmente los controles funcionan como deben, independientemente del dinero invertido en ellos. Una parte de mi trabajo es repetir esta pregunta a muchos clientes potenciales y encontrarme con respuestas, cuanto menos, sorprendentes.

En otros artículos hemos dejado claro que el mismo canal que habilita las aplicaciones para su uso en un entorno como la web también habilita a los atacantes para “hacer de las suyas” y buscar puntos débiles en las aplicaciones. Por eso decimos que las protecciones perimetrales no son efectivas contra los ataques a aplicaciones.

  • He adquirido un appliance maravilloso que frena todos los ataques a aplicaciones sin necesidad de hacer pruebas de seguridad.
  • Entonces ¿Se cree Vd. lo que le cuenta el fabricante del dispositivo sin dudar?
  • No he dicho eso, sólo que mi appliance protege mis aplicaciones.
  • Por supuesto. Y… ¿ha introducido ya todas las reglas?
  • ¡Claro que sí! Venían de fábrica.
  • Pero,… sabrá Vd. que cada día aparecen vulnerabilidades nuevas. ¿No cree que, a priori, esto aumenta la exposición de sus aplicaciones? ¿Cómo las actualiza?

Esta conversación podría ser una de muchas en una acción comercial, y deja claro que el interpelado fía toda su seguridad a un appliance que ha adquirido recientemente y a las maravillas que, se supone, hace.

Como dijo Bruce Schneier, “Quien confía la resolución de sus problemas únicamente a una solución tecnológica no entiende la tecnología y no entiende el problema”.

Las aplicaciones constituyen en la actualidad una parte fundamental de cualquier negocio, pues por una parte están en contacto permanente con los clientes y por otra se encargan de acceder y gestionar los datos que sirven para el funcionamiento del negocio. Es necesario tener en cuenta que el entorno de las aplicaciones es cambiante y la seguridad de los entornos necesita ser revisada periódicamente para evitar sorpresas desagradables.

La respuesta a la pregunta no es otra que hacer pruebas de seguridad sobre las aplicaciones y conocer de primera mano los resultados de las mismas. Luego, con los resultados de estas pruebas, han de aplicarse reglas para actualizar los controles, ese appliance que nos ha salido tan caro no es eficaz si no sabe ante qué debe protegerse.

SOGETI realiza análisis de seguridad sobre las aplicaciones y proporciona las reglas necesarias para incorporar a los controles de seguridad del negocio con la mayor eficacia y de la manera más eficiente.

Juan-Carlos-PascualJuan Carlos Pascual (@JKPascual)

Security Lead en SOGETI España

Anuncios

Un comentario

  1. […] Por tanto, podemos decir que las pruebas de seguridad en aplicaciones tienen dos características que las revisten de especial importancia: verifican la eficacia de los controles preventivos de seguridad que se aplican sobre las aplicaciones – no olvidemos que las aplicaciones gestionan los datos del negocio -; y además son los procesos mediante los cuales se simulan ataques reales sobre las aplicaciones. Estas dos circunstancias permiten conocer con certeza cuan seguras son las aplicaciones, y no recurrir a la letanía de enumerar los controles preventivos cuando alguien nos pregunte ¿Cómo de seguras son tus aplicaciones? […]

    Me gusta

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: